Contents
About this report
Report parameters
Contexts
No contexts were selected, so all contexts were included by default.
Sites
The following sites were included:
- http://localhost:3000
(If no sites were selected, all sites were included by default.)
An included site must also be within one of the included contexts for its data to be included in the report.
Risk levels
Included: Alto, Medio, Bajo, Informativo
Excluded: None
Confidence levels
Included: Confirmado por Usuario, Alta, Media, Baja
Excluded: Confirmado por Usuario, Alta, Media, Baja, Falso positivo
Summaries
Alert counts by risk and confidence
| Confidence | ||||||
|---|---|---|---|---|---|---|
| Confirmado por Usuario | Alta | Media | Baja | Total | ||
| Risk | Alto | 0 (0,0 %) |
0 (0,0 %) |
0 (0,0 %) |
0 (0,0 %) |
0 (0,0 %) |
| Medio | 0 (0,0 %) |
2 (18,2 %) |
2 (18,2 %) |
1 (9,1 %) |
5 (45,5 %) |
|
| Bajo | 0 (0,0 %) |
0 (0,0 %) |
2 (18,2 %) |
1 (9,1 %) |
3 (27,3 %) |
|
| Informativo | 0 (0,0 %) |
0 (0,0 %) |
3 (27,3 %) |
0 (0,0 %) |
3 (27,3 %) |
|
| Total | 0 (0,0 %) |
2 (18,2 %) |
7 (63,6 %) |
2 (18,2 %) |
11 (100%) |
|
Alert counts by site and risk
| Risk | |||||
|---|---|---|---|---|---|
|
Alto (= Alto) |
Medio (>= Medio) |
Bajo (>= Bajo) |
Informativo (>= Informativo) |
||
| Site | http://localhost:3000 | 0 (0) |
5 (5) |
3 (8) |
3 (11) |
Alert counts by alert type
| Alert type | Risk | Count |
|---|---|---|
| CSP: Directiva Wildcard | Medio | 1 (9,1 %) |
| Cabecera Content Security Policy (CSP) no configurada | Medio | 1 (9,1 %) |
| Configuración Incorrecta Cross-Domain | Medio | 7 (63,6 %) |
| Directory Browsing (Exploración de directorios) | Medio | 1 (9,1 %) |
| Falta de cabecera Anti-Clickjacking | Medio | 1 (9,1 %) |
| Divulgación de Marcas de Tiempo - Unix | Bajo | 1 (9,1 %) |
| El servidor divulga información mediante un campo(s) de encabezado de respuesta HTTP ''''X-Powered-By'''' | Bajo | 7 (63,6 %) |
| Falta encabezado X-Content-Type-Options | Bajo | 6 (54,5 %) |
| Aplicación Web Moderna | Informativo | 1 (9,1 %) |
| Divulgación de información - Comentarios sospechosos | Informativo | 16 (145,5 %) |
| Librería JS Vulnerable | Informativo | 1 (9,1 %) |
| Total | 11 |
Alerts
-
Risk=Medio, Confidence=Alta (2)
-
http://localhost:3000 (2)
-
CSP: Directiva Wildcard (1)
GET http://localhost:3000/sitemap.xml
Alert tags Alert description Content Security Policy (CSP) es una capa de seguridad añadida que ayuda a detectar y mitigar ciertos tipos de ataques. Incluyendo (pero no limitado a) Cross Site Scripting (XSS), y ataques de inyección de datos. Estos ataques se utilizan, para todo, desde el robo de datos a la desfiguración de sitios o la distribución de malware. CSP proporciona un conjunto de cabeceras HTTP estándar que permiten a los propietarios de sitios web declarar las fuentes de contenido aprobadas que los navegadores deberían poder cargar en esa página. Los tipos cubiertos son JavaScript, CSS, marcos HTML, fuentes, imágenes y objetos incrustables como applets Java, ActiveX y archivos de audio y vídeo.
Other info Las siguientes directivas permiten fuentes comodín (o ancestros), no están definidas, o están definidas de forma demasiado amplia:
frame-ancestors, form-action
La(s) directiva(s): frame-ancestors, form-action está(n) entre las directivas que no retroceden a default-src, omitirlas/excluirlas es lo mismo que permitir cualquier cosa.
Request Request line and header section (209 bytes)
GET http://localhost:3000/sitemap.xml HTTP/1.1 host: localhost:3000 user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0 pragma: no-cache cache-control: no-cacheRequest body (0 bytes)
Response Status line and header section (393 bytes)
HTTP/1.1 404 Not Found X-Powered-By: Express Access-Control-Allow-Origin: * Access-Control-Allow-Methods: * Access-Control-Allow-Headers: * Content-Security-Policy: default-src 'none' X-Content-Type-Options: nosniff Content-Type: text/html; charset=utf-8 Content-Length: 150 Vary: Accept-Encoding Date: Sun, 01 Dec 2024 20:47:57 GMT Connection: keep-alive Keep-Alive: timeout=5Response body (150 bytes)
<!DOCTYPE html> <html lang="en"> <head> <meta charset="utf-8"> <title>Error</title> </head> <body> <pre>Cannot GET /sitemap.xml</pre> </body> </html>Parameter Content-Security-PolicyEvidence default-src 'none'Solution Asegúrese de que su servidor web, servidor de aplicación, balanceador de carga, etc. está configurado apropiadamente para establecer la cabecera de Política de Seguridad de Contenido.
-
Cabecera Content Security Policy (CSP) no configurada (1)
GET http://localhost:3000
Alert tags Alert description La Política de seguridad de contenido (CSP) es una capa adicional de seguridad que ayuda a detectar y mitigar ciertos tipos de ataques, incluidos Cross Site Scripting (XSS) y ataques de inyección de datos. Estos ataques se utilizan para todo, desde el robo de datos hasta la desfiguración del sitio o la distribución de malware. CSP proporciona un conjunto de encabezados HTTP estándar que permiten a los propietarios de sitios web declarar fuentes de contenido aprobadas que los navegadores deberían poder cargar en esa página; los tipos cubiertos son JavaScript, CSS, marcos HTML, fuentes, imágenes y objetos incrustados como applets de Java, ActiveX, archivos de audio y video.
Request Request line and header section (197 bytes)
GET http://localhost:3000 HTTP/1.1 host: localhost:3000 user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0 pragma: no-cache cache-control: no-cacheRequest body (0 bytes)
Response Status line and header section (374 bytes)
HTTP/1.1 200 OK X-Powered-By: Express Access-Control-Allow-Origin: * Access-Control-Allow-Methods: * Access-Control-Allow-Headers: * Content-Type: text/html; charset=utf-8 Accept-Ranges: bytes Content-Length: 1711 ETag: W/"6af-+M4OSPFNZpwKBdFEydrj+1+V5xo" Vary: Accept-Encoding Date: Sun, 01 Dec 2024 20:47:57 GMT Connection: keep-alive Keep-Alive: timeout=5Response body (1711 bytes)
<!DOCTYPE html> <html lang="en"> <head> <meta charset="utf-8" /> <link rel="icon" href="/favicon.ico" /> <meta name="viewport" content="width=device-width, initial-scale=1" /> <meta name="theme-color" content="#000000" /> <meta name="description" content="Web site created using create-react-app" /> <link rel="apple-touch-icon" href="/logo192.png" /> <!-- manifest.json provides metadata used when your web app is installed on a user's mobile device or desktop. See https://developers.google.com/web/fundamentals/web-app-manifest/ --> <link rel="manifest" href="/manifest.json" /> <!-- Notice the use of in the tags above. It will be replaced with the URL of the `public` folder during the build. Only files inside the `public` folder can be referenced from the HTML. Unlike "/favicon.ico" or "favicon.ico", "/favicon.ico" will work correctly both with client-side routing and a non-root public URL. Learn how to configure a non-root public URL by running `npm run build`. --> <title>React App</title> <script defer src="/static/js/bundle.js"></script></head> <body> <noscript>You need to enable JavaScript to run this app.</noscript> <div id="root"></div> <!-- This HTML file is a template. If you open it directly in the browser, you will see an empty page. You can add webfonts, meta tags, or analytics to this file. The build step will place the bundled scripts into the <body> tag. To begin the development, run `npm start` or `yarn start`. To create a production bundle, use `npm run build` or `yarn build`. --> </body> </html>Solution Asegúrese de que su servidor web, servidor de aplicaciones, balanceador de carga, etc. esté configurado para establecer la cabecera Content-Security-Policy.
-
-
-
Risk=Medio, Confidence=Media (2)
-
http://localhost:3000 (2)
-
Configuración Incorrecta Cross-Domain (1)
GET http://localhost:3000/favicon.ico
Alert tags Alert description La carga de datos del navegador web puede ser posible, debido a una mala configuración de Cross Origin Resource Sharing (CORS) en el servidor web.
Other info La configuración incorrecta de CORS en el servidor web permite solicitudes de lectura entre dominios de terceros arbitrarios, utilizando API no autenticadas en este dominio. Sin embargo, las implementaciones de los navegadores web no permiten que terceros arbitrarios lean la respuesta de las API autenticadas. Esto reduce un poco el riesgo. Esta configuración errónea podría ser utilizada por un atacante para acceder a datos que están disponibles de forma no autenticada, pero que utilizan alguna otra forma de seguridad, como la lista blanca de direcciones IP.
Request Request line and header section (241 bytes)
GET http://localhost:3000/favicon.ico HTTP/1.1 host: localhost:3000 user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0 pragma: no-cache cache-control: no-cache referer: http://localhost:3000Request body (0 bytes)
Response Status line and header section (426 bytes)
HTTP/1.1 200 OK X-Powered-By: Express Access-Control-Allow-Origin: * Access-Control-Allow-Methods: * Access-Control-Allow-Headers: * Accept-Ranges: bytes Cache-Control: public, max-age=0 Last-Modified: Mon, 08 Jul 2024 00:04:59 GMT ETag: W/"f1e-1908fa86ff8" Content-Type: image/x-icon Content-Length: 3870 Vary: Accept-Encoding Date: Sun, 01 Dec 2024 20:47:57 GMT Connection: keep-alive Keep-Alive: timeout=5Response body (3870 bytes)
-
-
ZAP